1000 से अधिक एंड्रॉइड ऐप्स उचित अनुमति के बिना उपयोगकर्ता डेटा तक पहुंच सकते हैं

शोधकर्ताओं ने पाया कि Google Play Store पर कई Android ऐप्स के पास उपयोगकर्ता डेटा प्राप्त करने के लिए Android के अनुमति मॉडल को बायपास करने के तरीके थे।

उपयोगकर्ता की धारणा के बावजूद, एंड्रॉइड वास्तव में एक मोबाइल ओएस के रूप में काफी सुरक्षित है। हम आम तौर पर इस आधार को स्वीकार करते हैं कि सबसे कमजोर कड़ी उपयोगकर्ता है; जब तक आप यह देखते हैं कि आप क्या इंस्टॉल करते हैं और क्या अनुमति देते हैं, तब तक आपको अपने डेटा की अनधिकृत पहुंच और वितरण से सुरक्षित रहना चाहिए। यदि आप किसी एंड्रॉइड ऐप को अपने स्थान तक पहुंच से इनकार करते हैं, तो उस ऐप के पास यह पता लगाने का कोई तरीका नहीं होना चाहिए कि आप कहां हैं या आप कहां थे। हालाँकि, इंटरनेशनल कंप्यूटर साइंस इंस्टीट्यूट (आईसीएसआई) के शोधकर्ताओं के अनुसार, कुछ ऐप डेवलपर्स ने एंड्रॉइड के अनुमति मॉडल से बचने के तरीके खोज लिए हैं।

के अनुसार सीएनईटी, अध्ययन पिछले महीने प्रस्तुत किया गया था प्राइवेसीकॉन पिछले सितंबर में Google और FTC दोनों को जिम्मेदारीपूर्वक बताए जाने के बाद। हालांकि पेपर एफटीसी की वेबसाइट पर प्रकाशित हुआ उन सटीक ऐप्स को सूचीबद्ध नहीं करता है जिन्हें टीम ने अपने विश्लेषण में चिह्नित किया था (वे विवरण बाद में आएंगे)।

यूसेनिक्स सुरक्षा सम्मेलन अगले महीने), यह उनकी विश्लेषण पद्धति पर विवरण प्रदान करता है और ऐप्स एंड्रॉइड के अनुमति मॉडल को कैसे बायपास कर रहे थे। इसकी कीमत क्या है, इसके लिए Google का कहना है कि सुरक्षा और गोपनीयता Google को बदल देती है Android Q में पेश किया गया है इन बाईपास तरीकों को बंद कर देगा, इस प्रकार यह पेपर एंड्रॉइड 10 में किए गए कुछ प्लेटफ़ॉर्म परिवर्तनों के लिए Google के औचित्य में मूल्यवान अंतर्दृष्टि प्रदान करता है। आइए गोता लगाएँ।

कैसे >1000 ऐप्स ने एंड्रॉइड के परमिशन मॉडल को दरकिनार कर दिया

शोधकर्ता दो अलग-अलग सुरक्षा बचाव तकनीकों के बीच अंतर करते हैं: साइड चैनल और गुप्त चैनल। साइड चैनल तकनीकों में विशेष जानकारी तक ऐसे तरीके से पहुंच प्राप्त करना शामिल है जो सुरक्षा तंत्र द्वारा कवर नहीं किया जाता है; उदाहरण के लिए, जब तक एंड्रॉइड पाई ने मैक एड्रेस रैंडमाइजेशन की शुरुआत नहीं की, तब तक ऐप्स मैक एड्रेस का उपयोग करके डिवाइस के स्थान को ट्रैक करने में सक्षम होते थे। गुप्त चैनल तकनीकों में एक सेवा से डेटा भेजने के लिए सहयोग करने वाली दो सेवाएँ शामिल होती हैं जिनके पास एक सेवा तक वैध पहुंच होती है जिसके पास नहीं होती है; उदाहरण के लिए, एक ऐप जिसे स्थान पहुंच प्रदान की गई है, वह डेटा उस ऐप के साथ साझा कर सकता है जिसे पहुंच प्रदान नहीं की गई है।

आईसीएसआई टीम ने यू.एस. गूगल प्ले स्टोर से 88,113 सबसे लोकप्रिय एंड्रॉइड ऐप्स का विश्लेषण किया और 1,000 से अधिक ऐप्स और तृतीय-पक्ष लाइब्रेरी की खोज की जो एंड्रॉइड के सुरक्षा उपायों से बचने के लिए साइड चैनल और/या गुप्त चैनल का उपयोग करें ताकि वे उपयोगकर्ताओं के स्थान डेटा और लगातार पहचानकर्ताओं तक पहुंच सकें। उपकरण। उनके पूरे डेटासेट में 252,864 एपीके शामिल थे क्योंकि टीम ने समय-समय पर 88,113 ऐप्स के नए संस्करणों के लिए प्ले स्टोर को खंगाला, जिनका उन्होंने विश्लेषण करने की योजना बनाई थी। उन्होंने शुरुआत में प्रत्येक ऐप के व्यवहार का परीक्षण किया गूगल नेक्सस 5X एंड्रॉइड 6.0.1 मार्शमैलो चला रहा है लेकिन बाद में अपने निष्कर्षों का दोबारा परीक्षण किया गूगल पिक्सेल 2 यह साबित करने के लिए एंड्रॉइड पाई चला रहे हैं कि प्रकटीकरण के समय नवीनतम रिलीज़ के अनुसार उनके निष्कर्ष अभी भी वैध थे।

इस डेटासेट के साथ, टीम ने एंड्रॉइड के अनुमति मॉडल की धोखाधड़ी का पता लगाने के लिए गतिशील और स्थैतिक विश्लेषण का उपयोग करके एक विधि विकसित की। दूसरे शब्दों में, टीम ने ऐप के रनटाइम व्यवहार (गतिशील विश्लेषण) का ऑडिट करके या संभावित रूप से दुर्भावनापूर्ण व्यवहार (स्थैतिक) के लिए कोड को स्कैन करके ऐप व्यवहार का अध्ययन किया विश्लेषण।) बेशक, दुर्भावनापूर्ण ऐप डेवलपर्स इन तकनीकों से अवगत हैं, स्थैतिक विश्लेषण को कठिन या टीएलएस बनाने के लिए कोड ऑबफस्केशन और डायनेमिक कोड लोडिंग का उपयोग करते हैं। यह पता लगाने के लिए अवरोधन कि ऐप वर्चुअलाइज्ड वातावरण में कब चल रहा है, इसलिए ICSI टीम ने अपने में स्थिर और गतिशील विश्लेषण (हाइब्रिड विश्लेषण) का मिश्रण नियोजित किया परिक्षण। परिणामस्वरूप, टीम को पता चला कि निम्नलिखित डेटा उन ऐप्स द्वारा स्क्रैप किया जा रहा था जिनके पास आवश्यक अनुमतियाँ नहीं थीं:

  • आईएमईआई: चूंकि IMEI एक अद्वितीय, सतत पहचानकर्ता है, इसलिए इसे ऑनलाइन सेवाओं के लिए उपयोगी माना जाता है ताकि वे अलग-अलग डिवाइसों को ट्रैक कर सकें। टीम ने पाया कि सैल्मोनैड्स और Baidu SDKs IMEI को पढ़ने के लिए एक गुप्त चैनल का उपयोग कर रहे थे। IMEI तक वैध पहुंच वाले ऐप्स डिवाइस के IMEI वाले बाहरी स्टोरेज पर छिपी हुई फ़ाइलें संग्रहीत कर रहे थे ताकि वैध पहुंच के बिना अन्य ऐप्स IMEI को पढ़ सकें। इस तरह से Baidu के SDK का उपयोग करने वाले पहचाने गए ऐप्स में हांगकांग और शंघाई के लिए डिज्नी के थीम पार्क ऐप्स, सैमसंग हेल्थ और सैमसंग ब्राउज़र शामिल हैं।
  • नेटवर्क मैक पता: नेटवर्क MAC पता भी एक विशिष्ट पहचानकर्ता है, और आमतौर पर यह ACCESS_NETWORK_STATE अनुमति द्वारा संरक्षित होता है। शोधकर्ताओं के अनुसार, ऐप्स "अनेक असुरक्षित UNIX सिस्टम कॉल्स को इनवॉइस करने" के लिए C++ नेटिव कोड का उपयोग कर रहे थे। टीम ने खोलने के लिए यूनिटी एसडीके का उपयोग करते हुए 42 ऐप्स की पहचान की मैक एड्रेस प्राप्त करने के लिए नेटवर्क सॉकेट और एक ioctl, हालांकि उन्होंने नोट किया कि 12,408 ऐप्स में से 748 में ACCESS_NETWORK_STATE की कमी होने पर विचाराधीन कोड था। अनुमति।
  • राउटर मैक पता: ACCESS_WIFI_STATE अनुमति BSSID की सुरक्षा करती है, लेकिन /proc/net/arp में ARP कैश को पढ़ने से ऐप को किसी भी अनुमति की आवश्यकता के बिना उस डेटा को प्राप्त करने की अनुमति मिलती है। शोधकर्ता ने इसकी पहचान की ओपनएक्स इस साइड चैनल तकनीक का उपयोग करते हुए एसडीके।
  • जियोलोकेशन: शोधकर्ताओं ने पाया कि शटरफ्लाई ऐप तस्वीरों के EXIF ​​मेटाडेटा के स्थान टैग तक पहुंच रहा था। बस READ_EXTERNAL_STORAGE अनुमति की आवश्यकता है।

Android Q में, Google को अब IMEI पढ़ने के लिए ऐप्स के पास READ_PRIVILEGED_PHONE_STATE अनुमति की आवश्यकता है। Android Q चलाने वाले उपकरण अब डिफ़ॉल्ट रूप से यादृच्छिक MAC पते प्रसारित करते हैं। अंत में, Android Q's स्कोप्ड स्टोरेज परिवर्तन ऐप्स के लिए फ़ोटो से स्थान डेटा पढ़ने की क्षमता को कम कर देते हैं। इस प्रकार, इन चिंताओं को नवीनतम एंड्रॉइड रिलीज़ में संबोधित किया गया है, लेकिन जैसा कि हम सभी जानते हैं, यह होगा काफी समय ले लो नवीनतम अपडेट के प्रचार-प्रसार के लिए।


निष्कर्ष

कुल मिलाकर, यह अध्ययन इस बात पर प्रकाश डालता है कि कैसे कुछ ऐप्स उस डेटा तक पहुँचते हैं जिसे अनुमतियों के पीछे संरक्षित किया जाना चाहिए। शोध में केवल उस उपसमूह पर ध्यान दिया गया जिसे Google "खतरनाक" अनुमतियाँ कहता है, विशेष रूप से ब्लूटूथ, संपर्क और एसएमएस जैसी अनुमतियों को छोड़कर। इस रिपोर्ट की पूरी जानकारी के लिए, मैं इसे पढ़ने की सलाह देता हूं कागज एफटीसी को प्रस्तुत किया गया.